Financial Systems & ERP

Akses Remote ERP: Apa yang Tidak Dikatakan Vendor Anda

๐Ÿ‡ฌ๐Ÿ‡ง Read this article in English

Executive Summary

Ketika pandemi memaksa seluruh tim keuangan bekerja dari rumah, akses remote ERP mendadak menjadi prioritas utama โ€” dan vendor dengan senang hati menjual solusi instan kepada Anda. Namun, ada kesenjangan besar antara janji vendor dan kenyataan di lapangan. Artikel ini membahas celah keamanan, jebakan lisensi, masalah performa, dan keputusan arsitektur yang sengaja dilewatkan oleh vendor dalam percakapan penjualan.

Kepanikan yang Tidak Direncanakan Siapa Pun

Delapan bulan sejak pandemi dimulai, saya masih menerima telepon dari CFO dan CIO yang mengira urusan akses remote ERP mereka sudah selesai. Mereka membeli perangkat VPN. Mereka membangun lingkungan Citrix. Mereka memindahkan sebagian beban kerja ke portal cloud milik vendor. Namun, proses tutup buku akhir bulan mereka memakan waktu 40% lebih lama, auditor mereka memberikan peringatan terkait kontrol akses, dan tim keuangan mereka perlahan kehilangan kepercayaan pada data yang sebelumnya selalu mereka yakini.

Ini bukan kegagalan teknologi. Ini adalah kegagalan informasi. Vendor menjual versi akses remote yang berfungsi sempurna di lingkungan demo, tetapi hancur saat dihadapkan pada kompleksitas dunia nyata. Selama beberapa bulan terakhir, saya telah membantu klien mengurai situasi ini, dan polanya sangat konsisten.

Berikut adalah hal-hal yang kemungkinan besar tidak dikatakan oleh vendor ERP Anda โ€” dan apa yang perlu Anda ketahui sebelum melangkah lebih jauh.

Akses Remote ERP: Kesenjangan Antara Janji dan Realitas Produksi

Setiap vendor ERP besar โ€” SAP, Oracle, Microsoft, Infor, Sage โ€” memiliki narasi akses remote. Tawaran mereka biasanya seperti ini: “Platform kami mendukung konektivitas jarak jauh yang aman. Pengguna Anda dapat mengakses sistem dari mana saja, di perangkat apa saja, dengan konfigurasi minimal.”

Pernyataan tersebut secara teknis benar, tetapi secara praktis menyesatkan. Inilah alasannya.

“Dari Mana Saja” Berasumsi Terlalu Banyak Tentang Jaringan Anda

Sebagian besar sistem ERP dirancang untuk konektivitas berkecepatan LAN. Pemanggilan database, pembaruan layar, dan rutinitas pembuatan laporan dirancang dengan asumsi latensi di bawah satu milidetik antara klien dan server aplikasi. Ketika Anda menggunakan koneksi internet rumahan โ€” dengan bandwidth yang bervariasi, lalu lintas jaringan yang terbagi dengan anggota keluarga lain, dan latensi 30-80ms โ€” pengalaman pengguna akan menurun dalam skala yang sulit diukur namun mustahil diabaikan.

Saya pernah bekerja dengan sebuah perusahaan manufaktur skala menengah pada kuartal kedua 2020 yang memindahkan 35 pengguna keuangan ke akses remote melalui VPN. Sistem ERP mereka (platform Tier 2 yang cukup terkenal) secara teknis berfungsi. Namun, entri transaksi yang biasanya memakan waktu 3 detik di kantor kini menjadi 12-15 detik. Kalikan angka tersebut dengan ratusan transaksi harian, dan Anda akan melihat tim yang bekerja jauh lebih lambat โ€” bukan karena mereka terdistraksi di rumah, melainkan karena infrastruktur tersebut memang tidak pernah dirancang untuk topologi ini.

“Aman” Bukanlah Status Biner

Vendor sangat suka mendeskripsikan platform mereka sebagai “aman”. Namun, keamanan dalam konteks akses remote ERP bukanlah sekadar fitur โ€” ini adalah arsitektur. Dan sebagian besar solusi akses remote yang diterapkan secara tergesa-gesa memiliki celah yang akan membuat CISO mana pun merasa tidak nyaman.

Masalah paling umum yang saya temui tahun ini:

  • Akses VPN datar tanpa segmentasi. Pengguna yang terhubung melalui VPN mendapatkan akses jaringan yang sama seperti di kantor, yang berarti perangkat rumah yang disusupi dapat menjadi vektor serangan ke seluruh lingkungan ERP Anda.
  • Multi-Factor Authentication (MFA) yang lemah atau tidak ada. Beberapa klien yang saya audit menjalankan akses remote ERP dengan otentikasi faktor tunggal โ€” hanya username dan password. Di era modern ini, hal tersebut tidak dapat dibenarkan.
  • Tidak ada pemantauan sesi atau deteksi anomali. Saat semua orang berada di kantor, pola akses yang tidak wajar lebih mudah dikenali. Dengan akses remote, SOC Anda (jika ada) harus bisa membedakan antara pengguna sah yang bekerja di tengah malam dan peretasan kredensial. Sebagian besar log bawaan ERP tidak dirancang untuk ini.
  • Risiko endpoint yang tidak terkendali. Staf keuangan mengakses buku besar (general ledger) dari laptop pribadi yang juga digunakan untuk mengunduh game oleh anak remaja mereka. Model keamanan vendor tidak memperhitungkan hal ini, begitu pula kebijakan Anda saat ini โ€” jika Anda mau jujur.

Jebakan Lisensi yang Sering Menjerat Perusahaan

Di sinilah percakapan mulai menjadi mahal, dan di mana vendor bersikap paling tidak transparan.

Banyak model lisensi ERP dibuat untuk dunia di mana pengguna mengakses sistem dari stasiun kerja terdaftar (named workstations) di jaringan perusahaan. Ketika Anda beralih ke akses remote โ€” terutama melalui lapisan virtualisasi seperti Citrix, VMware Horizon, atau bahkan Microsoft Remote Desktop โ€” Anda mungkin memicu ketentuan lisensi yang tidak Anda antisipasi sebelumnya.

Beberapa skenario nyata yang pernah saya temui:

  • Klausul multiplexing. Beberapa vendor menghitung setiap sesi virtual atau connection broker sebagai kebutuhan lisensi tersendiri, meskipun pengguna akhir sudah memiliki lisensi terdaftar. Salah satu klien menerima tagihan penyesuaian (true-up) hingga enam digit dari vendor ERP mereka lima bulan setelah menerapkan akses remote berbasis Citrix.
  • Biaya akses cloud. Beberapa vendor mengenakan tarif lisensi yang berbeda (baca: lebih mahal) untuk pengguna yang mengakses sistem melalui gateway cloud dibandingkan dengan koneksi on-premise langsung. Halaman harga mereka tidak memperjelas hal ini.
  • Ketidaksesuaian lisensi named vs concurrent. Organisasi yang sebelumnya beroperasi dengan nyaman menggunakan model lisensi concurrent (bersamaan) di kantor menyadari bahwa pola kerja remote โ€” di mana pengguna tetap login sepanjang hari alih-alih berbagi terminal โ€” tiba-tiba membutuhkan lebih banyak kursi concurrent daripada yang dianggarkan.

Saran saya: sebelum Anda menandatangani amendemen atau add-on apa pun untuk akses remote, minta pihak independen yang tidak memiliki hubungan dengan vendor untuk meninjau perjanjian lisensi Anda. Biaya audit lisensi oleh pihak ketiga jauh lebih kecil dibandingkan tagihan penyesuaian yang tidak terduga.

Masalah Performa yang Disebut Vendor Sebagai “Masalah Konfigurasi”

Ketika pengguna remote melaporkan bahwa sistem ERP berjalan lambat, respons pertama vendor hampir selalu sama: “Itu masalah jaringan di pihak Anda” atau “Anda perlu menyesuaikan konfigurasi Anda.” Terkadang hal itu benar. Namun lebih sering, itu hanyalah pengalihan isu.

Realitas sejujurnya adalah banyak platform ERP โ€” terutama yang memiliki arsitektur thick-client atau pemrosesan sisi klien yang berat โ€” memang tidak dirancang untuk koneksi dengan latensi tinggi dan bandwidth yang bervariasi. Sebaik apa pun penyesuaian konfigurasi yang dilakukan, itu tidak akan memperbaiki ketidakcocokan arsitektur yang mendasar.

Apa yang Sebenarnya Memengaruhi Performa ERP Remote

Berdasarkan keterlibatan di berbagai platform tahun ini, faktor performa utama untuk akses remote ERP dapat dirinci sebagai berikut:

Faktor Tingkat Dampak Dalam Kendali IT?
Latensi jaringan (pengguna ke server aplikasi) Tinggi Sebagian โ€” bergantung pada ISP dan geografi
Arsitektur klien (thick vs thin vs web) Tinggi Tidak โ€” ditentukan oleh platform ERP
Optimalisasi query database Menengah Ya โ€” tetapi membutuhkan keahlian DBA
Overhead virtualisasi (Citrix/RDS) Menengah Ya โ€” dengan penyesuaian kapasitas dan konfigurasi yang tepat
Bandwidth internet rumah pengguna Menengah Minimal โ€” tunjangan untuk peningkatan layanan bisa membantu
Beban pengguna bersamaan (concurrent) di server aplikasi Menengah-Tinggi Ya โ€” melalui perencanaan kapasitas dan penskalaan (scaling)

Dua faktor dengan dampak tertinggi โ€” latensi dan arsitektur klien โ€” adalah dua hal yang paling enggan didiskusikan secara terbuka oleh vendor Anda, karena hal tersebut menunjukkan keterbatasan pada produk itu sendiri, bukan pada lingkungan IT Anda.

Apa Arti Sebenarnya dari “Cloud-Ready” (dan Apa yang Bukan)

Salah satu frasa yang paling sering disalahgunakan dalam pemasaran vendor tahun ini adalah “cloud-ready”. Penting untuk mengupas apa arti sebenarnya dari istilah ini dalam praktiknya.

Untuk banyak platform ERP legacy, “cloud-ready” berarti vendor akan melakukan hosting aplikasi on-premise yang sama di infrastruktur yang mereka kelola (atau yang dikelola oleh mitra seperti AWS atau Azure). Aplikasi itu sendiri tidak dirancang ulang. Ia menggunakan kode yang sama, struktur database yang sama, dan persyaratan klien yang sama โ€” hanya saja berjalan di pusat data milik orang lain.

Hal ini pada dasarnya tidak buruk. Model hosted dapat menyederhanakan manajemen infrastruktur dan meningkatkan ketersediaan (availability). Namun, model ini tidak secara ajaib menyelesaikan masalah akses remote yang dijelaskan di atas. Jika aplikasi masih membutuhkan thick client, memindahkannya ke Azure tidak menghilangkan sensitivitasnya terhadap latensi. Jika model lisensi masih memberikan penalti untuk koneksi jarak jauh, melakukan hosting di cloud tidak akan mengubah ketentuan komersialnya.

ERP cloud-native sejati โ€” sistem yang dibangun dari awal untuk akses berbasis browser, multi-tenancy, dan integrasi API-first โ€” menangani akses remote dengan cara yang secara fundamental berbeda. Perbedaan ini sangat penting, dan vendor yang mengaburkan batas antara “hosted” dan “cloud-native” sebenarnya merugikan pelanggan mereka.

Kerangka Kerja Praktis untuk Mengevaluasi Postur Akses Remote ERP Anda

Alih-alih meresepkan satu solusi tunggal, saya merekomendasikan klien untuk menilai kondisi mereka saat ini melalui lima dimensi. Saya menyebutnya sebagai kerangka kerja RAPID โ€” bukan karena akronimnya terdengar cerdas, tetapi karena ini memaksa terjadinya percakapan yang tepat secara cepat.

  • R โ€” Resilience (Ketahanan). Dapatkah solusi akses remote Anda menangani pemadaman ISP pengguna, kegagalan VPN concentrator, atau lonjakan pengguna secara bersamaan tanpa menyebabkan gangguan total? Apa jalur failover Anda?
  • A โ€” Access Control (Kontrol Akses). Apakah Anda menerapkan akses hak istimewa terendah (least-privilege) untuk pengguna remote? Apakah MFA diwajibkan? Dapatkah Anda mencabut akses ke sistem ERP dalam hitungan menit jika sebuah endpoint disusupi?
  • P โ€” Performance (Performa). Sudahkah Anda mengukur pengalaman pengguna remote dengan metrik aktual โ€” bukan sekadar “yang penting jalan”? Waktu respons transaksi, kecepatan pembuatan laporan, dan durasi pemrosesan batch semuanya harus diukur (benchmarked).
  • I โ€” Integration (Integrasi). Apakah integrasi upstream dan downstream Anda (bank, mesin pajak, mitra EDI, alat BI) berfungsi dengan benar melalui lapisan akses remote? Saya pernah melihat integrasi yang bekerja sempurna secara on-premise namun gagal tanpa peringatan saat melalui terowongan VPN.
  • D โ€” Data Governance (Tata Kelola Data). Ke mana perginya data ERP Anda saat pengguna remote mengekspor laporan? Apakah data tersebut tersimpan di laptop pribadi yang tidak dienkripsi? Dapatkah Anda menegakkan kebijakan DLP (Data Loss Prevention) melalui arsitektur akses remote Anda saat ini?

Berikan skor untuk setiap dimensi pada skala 1-5. Apa pun yang berada di bawah angka 3 memerlukan perhatian segera. Ini bukan model maturitas โ€” ini adalah alat triase untuk saat ini.

Apa yang Sebenarnya Harus Anda Lakukan Selanjutnya

Jika Anda seorang CFO, CIO, atau pemilik bisnis yang membaca ini di tengah pandemi yang belum menunjukkan tanda-tanda akan segera berakhir, berikut adalah urutan prioritas yang saya rekomendasikan:

  1. Lakukan tinjauan lisensi secara independen. Jangan mengandalkan interpretasi vendor terhadap perjanjian Anda. Libatkan spesialis lisensi pihak ketiga atau minta tim hukum Anda meninjau ketentuan akses remote secara eksplisit.
  2. Terapkan MFA segera jika Anda belum melakukannya. Ini tidak bisa ditawar. Setiap platform ERP mendukungnya, baik secara bawaan maupun melalui integrasi dengan penyedia identitas seperti Azure AD atau Okta. Tidak ada alasan yang dapat diterima untuk menggunakan otentikasi faktor tunggal pada sistem keuangan.
  3. Ukur performa remote yang sebenarnya. Terapkan pemantauan performa aplikasi (APM) atau setidaknya, lakukan perbandingan time-and-motion terstruktur antara pemrosesan transaksi di kantor dan secara remote. Anda tidak dapat memperbaiki apa yang belum Anda kuantifikasi.
  4. Segmentasikan akses jaringan Anda. Pengguna ERP remote hanya boleh memiliki akses ke lingkungan ERP dan tidak ke tempat lain. Arsitektur jaringan zero-trust adalah arah jangka panjang yang tepat, tetapi segmentasi VPN dasar pun sudah merupakan peningkatan berarti dibandingkan akses datar.
  5. Mulai evaluasi cloud-native Anda. Jika platform ERP Anda saat ini tidak dapat mendukung kerja terdistribusi tanpa investasi infrastruktur yang signifikan, inilah saatnya untuk mulai mengevaluasi platform yang mampu melakukannya. Ini adalah proses pengambilan keputusan yang memakan waktu 12-24 bulan โ€” yang berarti memulainya sekarang bukanlah tindakan prematur, melainkan langkah yang bijak.

Pertanyaan yang Sering Diajukan (FAQ)

Apakah VPN cukup untuk akses remote ERP yang aman?

VPN menyediakan terowongan terenkripsi, tetapi itu bukanlah solusi keamanan yang lengkap. Tanpa segmentasi jaringan, MFA, manajemen endpoint, dan pemantauan sesi, pengguna yang terhubung ke VPN dengan perangkat yang disusupi dapat mengekspos seluruh lingkungan ERP Anda. Anggaplah VPN sebagai satu lapisan dalam strategi defense-in-depth โ€” diperlukan tetapi tidak cukup.

Bagaimana saya tahu jika penawaran cloud vendor ERP saya benar-benar cloud-native?

Ajukan tiga pertanyaan: Apakah aplikasi berjalan sepenuhnya di web browser standar tanpa plugin atau instalasi klien? Apakah platform tersebut bersifat multi-tenant dengan pembaruan otomatis yang dikelola oleh vendor? Apakah lapisan API merupakan fitur kelas satu, bukan sekadar pelengkap? Jika jawaban untuk salah satu pertanyaan ini adalah tidak, Anda kemungkinan besar sedang melihat model hosted, bukan cloud-native. Perbedaan ini secara langsung memengaruhi kualitas akses remote dan total biaya kepemilikan jangka panjang (TCO).

Apa tolok ukur performa yang wajar untuk pengguna ERP remote?

Sebagai target praktis, waktu respons transaksi jarak jauh seharusnya tidak lebih dari 2x lipat dari baseline di kantor untuk transaksi interaktif (pemuatan layar, penyimpanan entri data, pencarian). Untuk operasi batch dan pembuatan laporan, toleransinya lebih tinggi โ€” hingga 3x lipat mungkin dapat diterima tergantung pada prosesnya. Apa pun yang melampaui ambang batas ini memerlukan investigasi lebih lanjut terhadap konfigurasi jaringan, arsitektur aplikasi, atau penyesuaian virtualisasi.

Haruskah saya menegosiasikan ulang perjanjian lisensi ERP saya untuk mengakomodasi kerja remote?

Ya, dan waktunya sangat menguntungkan. Vendor saat ini lebih bersedia mengakomodasi persyaratan yang fleksibel dibandingkan dua belas bulan yang lalu. Secara khusus, dorong adanya klausul eksplisit bahwa akses remote melalui VPN, infrastruktur desktop virtual, atau web gateway tidak memicu biaya tambahan per pengguna atau per perangkat. Dapatkan secara tertulis. Jaminan lisan dari manajer akun Anda tidak akan ada harganya saat audit kepatuhan dilakukan.

Kebenaran yang Tidak Nyaman

Pandemi tidak menciptakan masalah akses remote ERP. Pandemi hanya mengeksposnya. Selama bertahun-tahun, banyak organisasi memperlakukan akses remote sebagai kasus khusus (edge case) โ€” sesuatu yang hanya digunakan sesekali oleh eksekutif yang sedang bepergian atau admin IT yang perlu menjalankan ulang layanan pada Sabtu malam. Asumsi utamanya adalah orang-orang yang menjalankan sistem keuangan Anda akan selalu berada di dalam gedung.

Asumsi itu kini telah hilang, dan tidak akan kembali. Bahkan ketika kantor kembali dibuka, ekspektasi akan pengaturan kerja yang fleksibel akan tetap ada. Organisasi yang memperlakukan akses remote ERP sebagai persyaratan arsitektur permanen โ€” bukan solusi sementara โ€” akan beroperasi dengan keunggulan struktural dalam hal rekrutmen, ketahanan, dan kecepatan.

Vendor Anda akan menjual peningkatan (upgrade) berikutnya kepada Anda. Apa yang tidak akan mereka lakukan adalah memberi tahu Anda secara jujur di mana kekurangan produk mereka untuk tenaga kerja yang terdistribusi. Penilaian itu adalah tanggung jawab Anda. Lakukan sekarang, selagi urgensinya tidak dapat disangkal dan pintu percakapan anggaran masih terbuka.

You May Also Like

Featured image for ERP Remote Access: What Your Vendor Won't Tell You
Financial Systems & ERP
ERP Remote Access: What Your Vendor Won’t Tell You
15 November 2020
Featured image for Fintech Disruption: What Traditional Financial Systems Can Learn โ€” fintech disruption financial systems
Financial Systems & ERP
Fintech Disruption: What Traditional Financial Systems Can Learn
15 May 2023